XSS LABS 靶场初识

news2024/11/24 11:30:57

关注这个靶场的其他相关笔记:XSS - LABS —— 靶场笔记合集-CSDN博客

0x01:XSS LABS 靶场简介

XSS LABS 靶场是一个专注于跨站脚本攻击(Cross-Site Scripting,XSS)教育和训练的平台。平台中有一系列精心设计的关于 XSS 漏洞的实验环境,旨在通过一些列具有挑战性的靶场任务帮助安全爱好者、开发人员和安全研究员深入理解 XSS 攻击的工作原理、类型、危害以及防御策略。

XSS LABS 靶场的主要特点和功能包括:

  1. 靶场场景:XSS LABS 提供了多种不同的靶场场景,每个场景都涵盖了不同类型的 XSS 漏洞,包括反射型和 DOM 型 XSS。通过这些场景,用户可以模拟和实践真实环境中可能出现的 XSS 攻击场景。

  2. 实战模拟:XSS LABS 允许用户模拟和执行 XSS 攻击,通过向靶场提交恶意的 XSS 代码,触发漏洞并获取相关信息。用户可以尝试不同的攻击载荷和技术,学习如何在不同场景下构造有效的 XSS 攻击。

总的来说,XSS LABS 非常适合刚刚了解过 XSS 原理,但缺乏实战经验的网安小白练练手(通向罗马的路千千万,我也希望你能走出自己的路)。

0x02:XSS LABS 靶场安装

0x0201:Windows 系统安装 XSS LABS 靶场

附件资源

  • 靶场运行环境

    • PhpStudy - CSDN 配套资源:phpstudy_x64_8.1.1.3.zip

    • PhpStudy - 官网地址:小皮面板-好用、安全、稳定的Linux服务器面板!

  • 靶场资源包(笔者修复了 Level 14 关卡,并对靶场外链资源进行了部分优化)

    • XSS LABS 源码包 - CSDN 配套资源:xss-labs.zip

    • XSS LABS 源码包 - 官网地址:do0dl3/xss-labs: xss 跨站漏洞平台 (github.com)

1. 靶场运行环境搭建 - PhpStudy

将适合 Windows 版本的 PhpStudy 安装包下载至本地,并且完成解压:

双击进入解压后的文件夹中,可以看到下面的内容:

双击 PhpStudy 安装包,即可进入安装页面,在这里,我们需要设置 PhpStudy 的安装目录,并且确保目录中不存在中文或空格(这里笔者选择安装在 C:\phpstudy_pro 目录下,因为是虚拟机中,如果是实体机的化,笔者建议安装在 C 盘以外的其他盘符中):

配置完成后,点击 “立即安装” 即可,然后就是耐心等待安装程序完成安装:

安装完成后,桌面会出现一个 phpstudy_pro 的程序快捷键,双击快捷键即可启动程序,启动完成后界面如下,至此 PhpStudy 已安装完毕:

2. 靶场运行环境配置 - PHP 版本配置

笔者在本地运行靶场使用的 PHP 版本是 php 5.3.29nts,不同版本的 PHP 可能内部对同一个函数的处理流程是不一样的,可能会出现你在低版本中可使用的 Payload 到高版本中就无法使用的情况,这里为了避免这一情况,笔者建议将 PHP 版本定为和笔者一致的低版本(php 5.3.29nts)。

在 PhpStudy 中安装其他版本的 PHP 也十分简单,流程如下:

在这里,你就可以安装你想要的不同版本的 PHP,点击后面的 “安装” 按钮即可:

等待安装完成后,还是这个页面,确保 localhost 使用的 PHP 版本是 5.3.29nts(打勾的那个就是当前启用的 PHP 版本)即可:

3. XSS LABS 靶场源码导入并访问

完成上面的 PhpStudy 基础配置后,就可以将 XSS LABS 靶场源码导入到站点中了。

将 XSS LABS 靶场源码下载至本地并完成解压:

下面我们要将解压后的靶场文件,放到站点根目录下。PhpStudy 中定位站点根目录的方法如下:

打开站点更目录后,直接将 XSS LABS 靶场源码拖进去即可:

靶场源码导入成功后,接下来我们要访问靶场地址,但是在访问靶场之前,我们还需要开启 PhpStudy 的 Apache 服务(用来处理客户端的 HTTP 请求的一个服务),只有该服务开启后,我们才能够访问本地的站点:

接下来,我们访问 XSS LABS 靶场首页。我们刚刚把 XSS LABS 的源码是放在了 localhost 站点的 xss-labs 目录下,所以我们访问该靶场的地址为:

http://localhost/xss-labs

至此,我们已经成功在 Windows 系统中配置好了 XSS LABS 靶场。

0x0202:Linux 系统安装 XSS LABS 靶场

附件资源

  • 靶场运行环境

    • PhpStudy - 官网地址:小皮面板-好用、安全、稳定的Linux服务器面板!

  • 靶场资源包(笔者修复了 Level 14 关卡,并对靶场外链资源进行了部分优化)

    • XSS LABS 源码包 - CSDN 配套资源:xss-labs.zip

    • XSS LABS 源码包 - 官网地址:do0dl3/xss-labs: xss 跨站漏洞平台 (github.com)

1. 靶场运行环境搭建 - PhpStudy

在 Linux 操作系统中安装 PhpStudy,首先需要确定你当前使用的系统是否满足目标软件系统的最低运行要求,以及确定你当前的操作系统型号,是否在其支持的类型之列。比如,本次演示使用的 Kali Linux,属于 Debian 系列,就在其支持之列:

然后根据自己的操作系统型号,复制对应的安装脚本到命令行执行即可:

 Centos 安装脚本: yum install -y wget && wget -O install.sh https://notdocker.xp.cn/install.sh && sh install.sh
 Ubuntu 安装脚本: wget -O install.sh https://notdocker.xp.cn/install.sh && sudo bash install.sh
 Deepin 安装脚本: wget -O install.sh https://notdocker.xp.cn/install.sh && sudo bash install.sh
 Debian 安装脚本: wget -O install.sh https://notdocker.xp.cn/install.sh && sudo bash install.sh

安装完成后,会弹出小皮面板的访问地址以及初始的账号密码(如果是在云上配置的,请按照要求去安全组开放对应的端口,不然会出现无法访问的情况):

我们可以输入下面的命令来查看小皮面板的使用说明:

小皮面板的系统初始密码太难记了,这里我修改为 kali 比较好记(本地环境,线上误用,这个步骤是可选的):

接下来,我们启动小皮面板,并且查看小皮面板的登录地址。输入下面的命令即可:

phpstudy -start && phpstudy -visiturl

我们是内网的环境,所以访问内网入口即可(每个人访问的地址都是不一样的哦):

输入小皮面板的用户名和密码完成登录,这里笔者的账号密码是 admin : kali,密码是我后面配置的:

第一次进入小皮面板,它会提示你安装网站运行的基础套件,这里选择推荐的即可,后面还可以自由搭配 (这里必须要安装哦,不然后面网站是没办法运行的)

至此,我们已经成功完成了在 Linux 操作系统中安装小皮面板的全流程。

2. 靶场运行环境配置 - PHP 版本配置

笔者在本地运行靶场使用的 PHP 版本是 php 5.3.29nts,不同版本的 PHP 可能内部对同一个函数的处理流程是不一样的,可能会出现你在低版本中可使用的 Payload 到高版本中就无法使用的情况,这里为了避免这一情况,笔者建议将 PHP 版本定为和笔者一致的低版本(php 5.3.29nts)。

首先,我们需要下载一个适合的 PHP 版本,下载流程如下:

下载完毕后,我们到 “网站” 菜单中修改站点使用的 PHP 版本:

修改完毕后的页面如下图所示:

3. XSS LABS 靶场源码导入并访问

完成上面小皮面板的基础配置后,就可以将 XSS LABS 靶场源码导入到站点中了。

首先我们要准备靶场的源码包,从附件资源中直接下载即可:

然后我们需要定位网站的根目录,并把靶场压缩包上传至站点根目录下,定位流程如下:

打开站点根目录后,点击 ”文件上传“,将 XSS LABS 的压缩包进行上传:

上传完毕后,我们需要解压 xss-labs.zip 文件,直接在小皮面板中操作即可(这里最好创建一个 xss-labs 文件夹来存放解压缩后的文件):

解压后的样式如下所示,至此我们已经成功导入了靶场源码了:

靶场源码导入成功后,接下来我们要访问靶场地址,但是在访问靶场之前,我们要确定站点是否正在运行,如果未运行还需要手动开启:

接下来,我们访问 XSS LABS 靶场首页。我们刚刚把 XSS LABS 的源码是放在了 localhost 站点的 xss-labs 目录下,所以我们访问该靶场的地址为:

 http://localhost/xss-labs

另外,如果是局域网中,我们还可以通过 IP 的方式用其他的机器来访问这个靶场:

至此,我们已经成功完成了在 Linux 操作系统中安装 XSS LABS 靶场的操作。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2091287.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

若依框架 MyBatis 改为 MyBatis-Plus 的实现步骤

本文只做了简单的实现,具体的细节需根据自己的需求进一步实现。如果实现中遇到问题欢迎留言讨论。 引入 MyBatis-Plus 引入相关依赖(pom.xml) 推荐先直接在顶级 pom.xml 中直接依赖,等调试通过之后,在去按需依赖&…

【hot100篇-python刷题记录】【三数之和】

R7-双指针篇 思路: 三个元素,代表需要3个指针,利用双指针收缩的思想,我们可以设置k,i,j三个元素指针。 k代表最外层的循环,循环一遍数组。(为了降低时间复杂度以及搜索难度,我们先将nums sort…

移动硬盘文件夹变成白色无法正常访问,怎么恢复?

在使用移动硬盘时,有时会遇到文件夹变白的情况。这通常意味着文件夹已经损坏或无法正常访问。本文将分析移动硬盘文件夹变白的原因,并提供相应的恢复方法。 一、原因分析 文件系统损坏:移动硬盘的文件系统可能因多种原因而损坏,如…

001集——CAD—C#二次开发入门——开发环境基本设置

CAD C#二次开发首先需要搭建一个舒服的开发环境,软件安装后,需要修改相关设置。本文为保姆级入门搭建开发环境教程,默认已成功安装vs和cad 。 第一步:创建类库 第二步:进行相关设置,如图: 下一…

milvus资源限制 benchmarker压测 qps优化

根据milvus 资源限制的官网,我们得出百万数据资源限制。 1.dev 环境 对接不同的配置最大的qps 如下(dev的机器内存很小) 2.于是认为当前的性能是匹配的,然后加上资源限制,配置 压测结果如下 {"run_id": "13292982fee74f64…

基于springboot+vue的民族文化推广系统设计与实现---附源码92323

摘 要 在全球化和信息化日益加深的当下,保护和推广民族文化显得尤为重要。民族文化不仅是一个国家或地区的独特标识,更是其历史、传统和智慧的结晶。然而,随着现代社会的快速发展,许多传统文化和习俗面临着被遗忘和消失的风险。因…

ssh---配置密钥对验证

1.在客户端创建密钥对 ssh-keygen -t ecdsa秘钥存放位置(生成密钥时的用户的工作目录下) 2.将公钥文件上传至服务器 3.在服务器中导入公钥文本 4.在客户机设置ssh代理功能,实现免交互登录 5.测试

Python自适应光学模态星形小波分析和像差算法

🎯要点 🎯星形小波分析像差测量 | 🎯对比傅里叶和小波分析 | 🎯定义多尺度图像质量度量,矩阵数据 | 🎯像差校正算法 | 🎯受激发射损耗显微镜布局 | 🎯干涉仪分支校准,求…

Java 虚方法表(虚函数)

虚方法表 Java 中的虚方法表(Virtual Method Table, VMT)是实现动态方法分派和多态的重要机制。它帮助 Java 运行时系统(JVM)决定在继承体系中调用哪一个方法的具体实现。 什么是虚方法表? 虚方法表是一个类的内部数…

Linux学习笔记(4)----通过网口灯判断网速是千兆还是百兆

网卡PHY 移植注意事项 注意RTL8211F的LED0,LED1,LED2,软件是可以自定义的,比如百兆,千兆,是亮哪个灯,黄灯或者绿灯,还有传输时是闪烁哪个灯,要注意硬件上是怎么驱动灯的…

获取当前计算机的处理器架构platform.machine()

【小白从小学Python、C、Java】 【考研初试复试毕业设计】 【Python基础AI数据分析】 获取当前计算机的处理器架构 platform.machine() 选择题 关于以下代码的输出结果说法正确的是? import platform print("【执行】print(platform.machine())") prin…

Websocket测试工具,在线调试 - 在线工具

WebSocket 测试工具是用于测试 WebSocket 连接、发送和接收消息的工具。它们通常提供一个简单的用户界面,使开发人员能够快速验证 WebSocket 服务器的功能和性能。 在线Websocket测试工具体验地址:https://ewbang.com/websocket/index.html 什么是 WebSo…

具身智能(Embodied Intelligence)概述

目录 一、引言 二、具身感知 三、具身交互 四、具身智能体 五、虚拟到现实 一、引言 最近无论是斯坦福机器人炒虾,还是特斯拉官宣机器人进厂,都赚足了眼球,实力证明了具身智能(Embodied Intelligence)的火爆。…

SEO之网站结构优化(十四-内部链接及权重分配2)

初创企业搭建网站的朋友看1号文章;想学习云计算,怎么入门看2号文章谢谢支持: 1、我给不会敲代码又想搭建网站的人建议 2、“新手上云”能够为你开启探索云世界的第一步 博客:阿幸SEO~探索搜索排名之道 4、翻页过多 稍大型的商务…

无心剑中译莎士比亚《无君相伴浸寒冬》

莎士比亚十四行诗第98首 Sonnet 98 无君相伴浸寒冬 From you have I been absent in the spring, When proud pied April, dressed in all his trim, Hath put a spirit of youth in every thing, That heavy Saturn laughed and leapt with him. Yet nor the lays of birds,…

Python | Leetcode Python题解之第385题迷你语法分析器

题目: 题解: class Solution:def deserialize(self, s: str) -> NestedInteger:index 0def dfs() -> NestedInteger:nonlocal indexif s[index] [:index 1ni NestedInteger()while s[index] ! ]:ni.add(dfs())if s[index] ,:index 1index …

Vue3项目开发——新闻发布管理系统(四)

文章目录 七、登录&注册页面设计开发2、登录&注册页面设计3、表单校验规则设置七、登录&注册页面设计开发 2、登录&注册页面设计 登录页面如下: 点击“注册 →”,切换到注册页面: 点击“← 返回”,又可以切换回登录页面。 页面布局是这么设计的: 1…

保姆级Maven安装、配置、版本查询教程(包含配置本地仓库、阿里云私服、环境变量)

文章目录 一、Maven安装1. 下载zip包2. 解压 zip包 二、配置1. 配置本地仓库2. 配置阿里云私服3. 配置环境变量 三、Maven验证 此教程摘选自我的笔记:黑马JavaWeb开发笔记11——Maven介绍、详细安装、环境配置步骤教程,想要了解Maven组成和作用可以移步此…

中国各地区数字经济发展对环境污染的影响数据(2011-2021年)

关于中国各地区数字经济发展对环境污染的影响数据(2011-2021年),可以从以下几个方面获取相关信息: 数字经济水平:可以通过熵值法衡量的数字经济水平指标来评估各地区的数字经济发展情况。 环境污染物排放量&#xff1…

桥梁在线监测解决方案:科技赋能,守护桥梁安全

在现代社会,桥梁作为连接城市与乡村、跨越河流与峡谷的重要交通设施,其安全性和稳定性直接关系到人民生命财产的安全以及经济社会的正常运转。然而,桥梁在长期使用过程中,会受到自然环境、车辆荷载、材料老化等多种因素的影响&…